当Web服务器中有大量的信息需要频繁更新的时候,就使用到数据库技术了。实际上数据库技术的历史要比Web还要久远,早在20世纪60年代数据库就作为计算机科学的一个重要分支兴起,它取代了之前的文件系统存储。
作为Web服务器的核心组成部分,数据库往往保存了大量的重要信息,如何保证这些信息的安全性也成为十分重要的研究重点。如果你关注网络安全方面的新闻,应该会经常听到“拖库”“撞库”和“洗库”这些词语,它们其实都是针对数据库的攻击行为。
目前市面上存在着很多款数据库软件,由于它们功能各异,因此针对它们进行渗透的思路往往也不同。即便是同一款数据库软件,例如MySQL,如果运行在不同的操作系统上,那么渗透的思路往往也会有所区别。这里我们以MySQL为例,介绍如何使用Metasploit对其进行渗透测试。
1、MySQL 基础
MySQL是在Web应用方面比较优秀的数据库应用软件之一,因其具有体积小、运行速度快、总体拥有成本低、开放源代码等优势,所以一般中小型网站的开发人员都选择MySQL作为网站数据库。MySQL+PHP+Apache是极为优秀的Web服务器构建方案。
在使用MySQL时,也需要进行认证,首先打开命令提示符,输入以下格式的命令。
mysql -h主机名 -u用户名 -p其中的参数说明如下:
- -h:指定客户端所要登录的MySQL主机名,如果登录本机(localhost或127.0.0.1),该参数可以省略。
- -u:指定登录的用户名。
- -p:告诉服务器将会使用密码进行登录,如果所要登录的用户名和密码为空,可以忽略此参数。